冶金工控系統(tǒng)主動防御技術(shù)體系WHITEPAPER民解放軍戰(zhàn)略支援部隊信息工程大學、中國自動化學會工控系統(tǒng)信息安全專業(yè)委員會、金科技部重點研發(fā)課題《工控系統(tǒng)安全主動防御機制及體系研究》，項目編號：PREFACE原本獨立、封閉的冶金工控系統(tǒng)逐漸與互聯(lián)網(wǎng)廣能減排等方面發(fā)揮了積極作用。然而，隨著越來洞等各類網(wǎng)絡(luò)安全威脅也隨之涌入冶金生產(chǎn)流邊界防護不足、安全管理薄弱、控制器存在安全漏洞等問題，易受外部入侵者或內(nèi)部不法人員攻說明冶金行業(yè)面臨的網(wǎng)絡(luò)安全威脅并非空穴來風使得離心機大面積損毀，導(dǎo)致伊朗核計劃被迫延年[3]，中東一處石油和天然氣石化設(shè)施因受PREFACEKhouzestan鋼鐵廠遭受高級持續(xù)性威脅(ATP）攻故障引發(fā)了大火，最終鋼廠被迫停產(chǎn)，遭受重大為保障工控系統(tǒng)的安全穩(wěn)定運行，各國相繼相關(guān)部門發(fā)布了《工控系統(tǒng)信息安全防護指南》在這種背景下，國內(nèi)冶金行業(yè)企業(yè)迅速開展PREFACE控系統(tǒng)主要采用以邊界防護為主的被動防御方檢測設(shè)備部署在工控網(wǎng)絡(luò)中。然而，由于攻防信息不對稱性、不可避免的認知邏輯缺陷、防護方案與工控可用性需求的沖突等問題，被動防護難認為是解決工控安全問題的潛在方案。主動防御本白皮書針對冶金行業(yè)典型場景下工控系統(tǒng)估現(xiàn)有安全防護措施的有效性，明確在冶金行業(yè)背景下工控系統(tǒng)的安全防護需求，基于識別-響應(yīng)(Response)等方面的理論技術(shù)，提出一套冶金工控系統(tǒng)的主動防御技術(shù)參考體系，提升冶金PREFACE本白皮書的意義在于構(gòu)建冶金行業(yè)典型場景工控系統(tǒng)的主動防御技術(shù)體系，為工控系統(tǒng)的主動防護技術(shù)的應(yīng)用提供模板。同時，基于主動防御技術(shù)體系，為自主可控的產(chǎn)品開發(fā)和集成、行一冶金工控安全防護需求及挑戰(zhàn)冶金工控系統(tǒng)主動防御技術(shù)體系近年來，我國冶金行業(yè)呈現(xiàn)出快速發(fā)展的趨勢。我國擁常用有色金屬產(chǎn)量，冶金產(chǎn)業(yè)發(fā)展水平居世界首位，未來我國圖1冶金行業(yè)與其他產(chǎn)業(yè)之間的關(guān)系異構(gòu)多源的特征[14]，如何保證工藝流程安全高效生產(chǎn)是冶金行業(yè)面臨的重大難題。智能決策，最終解決異構(gòu)設(shè)備接入、多源數(shù)據(jù)集成、數(shù)等一系列問題，為解決冶金企業(yè)自動化和智能化提供新思路我國冶金行業(yè)在經(jīng)歷了部門級信息化(MIS)和企業(yè)級信息化(ERP)之后，已經(jīng)基本完成基礎(chǔ)信息化。多數(shù)冶金企業(yè)構(gòu)建了由一級PLC(可編程邏輯控制器)、二級PCS(過程控制系統(tǒng))、三級MES(制造執(zhí)行系統(tǒng))、四級ERP(企業(yè)資源規(guī)劃)、五級金行業(yè)實現(xiàn)了基礎(chǔ)數(shù)據(jù)的標準化、基本業(yè)務(wù)的流程優(yōu)化、生產(chǎn)-業(yè)務(wù)圖2冶金行業(yè)的信息化近年來，隨著工業(yè)化與信息化的深度融合，數(shù)字化、網(wǎng)冶金場景中數(shù)據(jù)采集、信息傳輸、生產(chǎn)控制等方面的需求有望通過“5G+工業(yè)互聯(lián)最后對金屬坯料進行一系列塑性變形和加工的軋制工藝，性能的控制，制造過程中的成分與板型控制、工藝技術(shù)優(yōu)對應(yīng)的控制系統(tǒng)特點也不一樣，下面以高爐本體控制系統(tǒng)和化、高速化等特點[22]。高爐本體的數(shù)據(jù)監(jiān)測和過程控制主要包括：爐內(nèi)狀態(tài)測量、查看、分析當前高爐運行狀況。高爐本體通過PLC編程實現(xiàn)風溫、風壓等物理量的及其附屬從站進行控制。輔助設(shè)備由稀油站、潤滑站、液壓站組動裝置之間通過Profibus-DP網(wǎng)絡(luò)等方式通信，實現(xiàn)集中控制。在統(tǒng)通常采用管理層、監(jiān)控層、控制層、現(xiàn)場現(xiàn)場層主要由傳感器和執(zhí)行器構(gòu)成，對物理對象的冶金生產(chǎn)車間的現(xiàn)場，通過工業(yè)交換機與上層進行信息交互。其主要由PLC、上位圖3冶金工控網(wǎng)絡(luò)該層包含各個分裝置的工程師站及操作員站統(tǒng)組態(tài)的維護，并通過交換機匯聚各分區(qū)控內(nèi)所有裝置的組態(tài)進行維護，查看網(wǎng)絡(luò)內(nèi)各流向的角度來看，現(xiàn)場層數(shù)據(jù)由傳感器采集后傳輸至控其他數(shù)據(jù)格式將現(xiàn)場數(shù)據(jù)向上傳輸，經(jīng)過防火墻過濾送作員站對數(shù)據(jù)進行簡單分析處理，將結(jié)果發(fā)送給管理層數(shù)和生產(chǎn)監(jiān)控層就能進行正常生產(chǎn)，但在冶金行業(yè)中，為調(diào)度管理層是將生產(chǎn)過程控制層的數(shù)據(jù)進行自動關(guān)系數(shù)據(jù)庫，并針對冶金行業(yè)實際需求和特點，上述架構(gòu)通過局域網(wǎng)實現(xiàn)數(shù)據(jù)的層級交互，基本要求。但是，由于冶金行業(yè)的連續(xù)生產(chǎn)需求，產(chǎn)線壽命往產(chǎn)流程的影響，大部分現(xiàn)場設(shè)備不會進行更新?lián)Q代或版本升近年來，工控領(lǐng)域頻繁爆發(fā)的網(wǎng)絡(luò)攻擊事件，說明網(wǎng)絡(luò)擊者使用魚叉式釣魚郵件和社會工程手段，獲得鋼廠辦公網(wǎng)者利用該網(wǎng)絡(luò)，滲透到鋼鐵廠的生產(chǎn)網(wǎng)絡(luò)并發(fā)動攻擊。攻擊工控系統(tǒng)的控制組件和整個生產(chǎn)線被迫停止運轉(zhuǎn)，由于不是而給鋼廠帶來了嚴重破壞。2020年3月，鋼鐵制造商EVRAZ公司在北美分支機構(gòu)，機構(gòu)癱瘓，大多數(shù)工廠停止生產(chǎn)[25]。2022年，伊朗Khouzestan鋼鐵廠遭受到高級持獲得鋼廠辦公生產(chǎn)網(wǎng)絡(luò)的控制訪問權(quán)進而對鋼廠發(fā)動攻擊，導(dǎo)工控設(shè)備、協(xié)議和業(yè)務(wù)的安全漏洞使得冶金控統(tǒng)網(wǎng)絡(luò)安全風險呈現(xiàn)出攻擊來源復(fù)雜化、攻擊目的多樣工控協(xié)議、業(yè)務(wù)流程發(fā)起攻擊，進而影響正常生產(chǎn)過程冶金工控系統(tǒng)存在各類輸入形式，部分控制設(shè)證，攻擊者可構(gòu)造特殊的攻擊載荷以觸發(fā)漏洞，修改設(shè)備限。在訪問控制方面，部分設(shè)備的訪問控制策略不完善，制功能，并且不對訪問行為做任何身份認證，部分設(shè)備被直接爆破，憑證保護程度不足則可能導(dǎo)致憑證泄露等問題制器安全。部分上位機軟件未設(shè)置讀取保護，攻擊者可通過逆向技主機設(shè)備直接接入控制環(huán)網(wǎng)，缺乏隔離保護；典型冶不能對進出網(wǎng)絡(luò)的信息內(nèi)容進行審查和過濾，缺乏檢查、問內(nèi)部網(wǎng)絡(luò)的能力；不同網(wǎng)段之間缺乏可靠的技術(shù)隔離手缺少有效的安全保護措施，難以阻止惡意攻擊傳播；缺少操作員站的系統(tǒng)備份等。若發(fā)生系統(tǒng)崩潰、勒索病毒感染等生前的穩(wěn)定狀態(tài)。所以要加強工控系統(tǒng)備份和恢復(fù)能少完整性驗證機制，攻擊者截獲通信流量后，修改敏感參數(shù)或設(shè)備發(fā)起遠程入侵，同時，內(nèi)部不法分子也可能常生產(chǎn)造成影響。當前冶金場景普遍缺少針對內(nèi)部分冶金企業(yè)在企業(yè)網(wǎng)絡(luò)資產(chǎn)管理、安全策略管理理、日常操作等方面缺乏統(tǒng)一的技術(shù)手段和管理方缺少安全策略、管理制度，管理者、操作人員安全意能效益，對可能造成重大事故損失的安全威脅重視不足足，仍保留可能帶來安全風險的行為習慣。企業(yè)缺乏針綜上所述，冶金工控系統(tǒng)設(shè)備數(shù)量種類眾多、理難度大，其自身存在設(shè)備、協(xié)議、隔離、管理等各個層面聯(lián)網(wǎng)普及的趨勢下，工控系統(tǒng)的孤島保護不復(fù)存在，面對各威脅，冶金工控系統(tǒng)需要部署全面完善的防御體系，才能應(yīng)為彌補安全漏洞，降低安全隱患影響，根據(jù)工業(yè)在重要的冶金控制場景(如高爐煉鐵、軋鋼等)中，對關(guān)鍵控制設(shè)備進行冗余配冶金流程任務(wù)復(fù)雜，需要控制的設(shè)備眾多。根如圖4所示，在冶金控制網(wǎng)-管理網(wǎng)以及管理網(wǎng)-外網(wǎng)之間采用邊界隔離防火墻，禁止系統(tǒng)集成商、設(shè)備供應(yīng)商、第三方運維服務(wù)商等其他圖4現(xiàn)有安全防護手段在冶金工控系統(tǒng)的管理層、控制層之間設(shè)置具有特定導(dǎo)冶金企業(yè)對現(xiàn)場工作人員進行安全培訓(xùn)。除了冶金企業(yè)會定期進行安全測試，或邀請第三方機構(gòu)現(xiàn)有防護措施在一定程度上能夠減輕冶金工控系象；監(jiān)控層、管理層的上位機多使用Windows操作系統(tǒng)，其自身漏洞也可能被攻擊者利用，僅通過安全衛(wèi)士和殺毒軟件難以滿足冶沒有在控制層－監(jiān)控層之間采取有效的防御冶金行業(yè)工控網(wǎng)絡(luò)規(guī)模較大、節(jié)點眾多，工控護體系中缺少對設(shè)備的脆弱性檢測，無法及時識別設(shè)備現(xiàn)有防御方案缺少入侵檢測機制，無法及時發(fā)現(xiàn)能等待設(shè)備出現(xiàn)故障造成損失后對攻擊做出反應(yīng)。同時，種類眾多、流量數(shù)據(jù)大，需要安全審計網(wǎng)絡(luò)中的協(xié)議流量一旦攻擊者突破防御、攻擊成功，將對冶金缺少自動化周期數(shù)據(jù)備份，也沒有攻擊后的快速恢復(fù)方案現(xiàn)有防護策略在企業(yè)網(wǎng)絡(luò)資產(chǎn)管理、安全策略管志管理、日常操作等方面缺乏統(tǒng)一的技術(shù)手段和管理方法，也報警數(shù)據(jù)等歷史數(shù)據(jù)進行綜合分析統(tǒng)計，各項防御措施分散獨管理、安全分析，能融合攻擊模式、威脅影響度量、脆技術(shù)，識別設(shè)備本體的安全漏洞并構(gòu)建漏洞數(shù)據(jù)庫；針對主分析，包括數(shù)據(jù)包檢查、流量審計、協(xié)議逆向等，提取加固能力。針對風險識別結(jié)果對設(shè)備本體及相應(yīng)編譯固，如，部署基于可信計算的工控本體操作系統(tǒng)，實現(xiàn)工控署能夠深度解析工控協(xié)議的工業(yè)安全防火墻、安全網(wǎng)關(guān)等網(wǎng)邊界和網(wǎng)絡(luò)的安全；并能夠針對工控場景特有的安全威脅設(shè)置檢測能力?；诋斍傲髁?、業(yè)務(wù)運行情況、故障日志測生產(chǎn)流程狀況，基于攻擊行為指紋庫偵測并識別可疑路徑的跟蹤溯源；利用入侵檢測系統(tǒng)和安全審計系統(tǒng)，別審查，實時監(jiān)控工控通信過程，甄別針對工控系統(tǒng)的相應(yīng)的響應(yīng)策略，支持自動化周期數(shù)據(jù)備份，制定攻擊后工控系統(tǒng)與企業(yè)其他系統(tǒng)之間應(yīng)劃分為兩個區(qū)離手段；工控系統(tǒng)內(nèi)部應(yīng)根據(jù)業(yè)務(wù)特點劃分為不同的在工控系統(tǒng)內(nèi)使用廣域網(wǎng)進行控制指令或生產(chǎn)數(shù)據(jù)交換的應(yīng)手段實現(xiàn)身份認證、訪問控制和數(shù)據(jù)保密傳輸；應(yīng)采用校應(yīng)保證跨越邊界的訪問數(shù)據(jù)流通過邊界設(shè)備提供的受對非授權(quán)設(shè)備私自連接到內(nèi)部網(wǎng)絡(luò)的行為進行檢查或限制；應(yīng)在網(wǎng)絡(luò)邊界或區(qū)域之間根據(jù)訪問控制策略設(shè)置訪問允許通信外受控接口拒絕所有通信；應(yīng)能根據(jù)會話狀態(tài)信應(yīng)在關(guān)鍵網(wǎng)絡(luò)節(jié)點處檢測、防止或限制從外部發(fā)起的網(wǎng)絡(luò)節(jié)點處檢測、防止或限制從內(nèi)部發(fā)起的網(wǎng)絡(luò)行為進行分析，實現(xiàn)對網(wǎng)絡(luò)攻擊特別是新型網(wǎng)絡(luò)應(yīng)在網(wǎng)絡(luò)邊界、重要網(wǎng)絡(luò)節(jié)點進行安全審計，審計覆用戶行為和重要安全事件進行審計；審計記錄應(yīng)包括事《國務(wù)院關(guān)于大力推進信息化發(fā)展和切實保障信息安全的若干意見》(國發(fā)《關(guān)于加強工控系統(tǒng)信息安全管理的通知》(工信部〔2《國務(wù)院關(guān)于深化制造業(yè)與互聯(lián)網(wǎng)融合發(fā)展的指導(dǎo)意見》(國《信息化和工業(yè)化融合發(fā)展規(guī)劃(2016GB/T30976.1-2014《工控GB/T30976.2-2014《工控GB/T33008.1-2016《工業(yè)自動化和控制系統(tǒng)網(wǎng)絡(luò)安全可編程序控GB/T33009.1-2016《工業(yè)自動化和控制系統(tǒng)網(wǎng)絡(luò)安全集散控制系統(tǒng)(DCS)第1GB/T33009.2-2016《工業(yè)自動化和控制系統(tǒng)網(wǎng)絡(luò)安全集散控制系統(tǒng)(DCS)第2GB/T33009.3-2016《工業(yè)自動化和控制系統(tǒng)網(wǎng)絡(luò)安全集散控制系統(tǒng)(DCS)第3GB/T33009.4-2016《工業(yè)自動化和控制系統(tǒng)網(wǎng)絡(luò)安全集散控制系統(tǒng)(DCS)第4GA/T695-2007《信息安全技術(shù)-網(wǎng)絡(luò)通訊安全審計-數(shù)據(jù)留存功能要求》及《安對于冶金行業(yè)工控系統(tǒng)信息安全建設(shè)，應(yīng)當以適度風險為原則，從業(yè)務(wù)的角度出發(fā)，重點保護重要的業(yè)冶金工控系統(tǒng)設(shè)備種類眾多，系統(tǒng)結(jié)構(gòu)復(fù)雜，在于方方面面。同時，隨著信息技術(shù)的發(fā)展和攻擊者能力的層出不窮，任何一套防御策略都無法完全覆蓋冶金場景的全部署防御策略時需要在防御效果與部署成本之間平衡折中，尋求高效的防護方法。另外，冶金工控系統(tǒng)的可用性、功能然是該行業(yè)首要考慮的因素，因此，在考慮網(wǎng)絡(luò)安全問題時，的安全防范問題，企業(yè)內(nèi)部也缺少相關(guān)的安全政策與管理制來改善冶金行業(yè)的安全現(xiàn)狀是片面的，不改變管理觀念與管全產(chǎn)品很難完全覆蓋冶金行業(yè)工控系統(tǒng)所有的信息安全問題場景中運用到的安全技術(shù)不足，難以形成有效的保護。在部安全技術(shù)與管理制度結(jié)合推進，切實有效地保障冶金場景安全策略更需要有效監(jiān)管，專業(yè)有效的管理才能充分發(fā)揮安全冶金工控系統(tǒng)一般分為五層，每層的功能和特不同區(qū)域間設(shè)置交互策略和安全保護措施，方便為實現(xiàn)對冶金工控系統(tǒng)的主動安全防護，需解務(wù)等方面存在的安全問題。由于冶金工控系統(tǒng)廣泛分圖5冶金工控系統(tǒng)不同漏洞類型的占比開的漏洞數(shù)據(jù)庫CVE顯示，冶金場景中常用的PLC型號施耐德M340漏洞數(shù)達85個，圖‘主流控制器存在的漏洞數(shù)量制器分為微型(如S7-200)、小型(如S7-300)和中、高性能要求的PLC(如S7-400)[40]。處理能力，可進行浮點數(shù)運算。在冶金場景中較為常見的是歐姆龍PLC根據(jù)IO點數(shù)與功能不同，可分為微型、小型、中型、大順序控制的引擎一起為單個單元提供高速順序控制以及高速按照內(nèi)部代碼邏輯控制執(zhí)行單元完成相應(yīng)動作，并及議規(guī)定的流量格式發(fā)送給上位機，作為整個生產(chǎn)系統(tǒng)的重要的作用。這也要求控制器必須能夠長期穩(wěn)定、可靠實時性、準確性的要求。因此，生產(chǎn)商在設(shè)計控制器時將要的生產(chǎn)標準，而在一定程度上忽略了安全性。同時早工業(yè)控制器中普遍存在威脅性較高的安全漏洞。冶金場表1控制器漏洞CVE-ID漏洞描述受影響產(chǎn)品型號漏洞評分漏洞類型證的攻擊者使用管理Web界面將HTML/入任何設(shè)備屬性，這可能使攻擊者可以顯webPatch2和更早版本的基于堆棧的緩沖區(qū)溢遠程攻擊者可以通過ABBAC500PLCBufferSomeFirmwaresof流量并重播可能導(dǎo)致工業(yè)閥門打開和關(guān)閉ACACL1\L2\L3FirmwareV30.FirmwareV14.00FirmwareACFirmwareFirmwareAC攻擊者可以根據(jù)先前的值預(yù)測該數(shù)字。這可能會使攻擊者欺騙或破壞TCP連接。Firmware0Firmware0缺少關(guān)鍵功能的身份關(guān)IP地址)的修改。FirmwareFirmwareFirmwareFirmwareFirmwareFirmwareAC包引起的拒絕服務(wù)條DkStandardEthernetFirmwareFirmwareFirmwareFirmwareFirmware特制數(shù)據(jù)包可能導(dǎo)致受影響的設(shè)備進入缺FirmwareFirmware包引起的拒絕服務(wù)條DkStandardEthernetFirmwareFirmwareFirmwareFirmwareFirmware特制數(shù)據(jù)包可能導(dǎo)致受影響的設(shè)備進入缺FirmwareFirmware在冶金場景中，控制器與其他設(shè)備通信時采用工控協(xié)議里的一種，其TCP/IP實現(xiàn)依賴于面向塊的ISO傳輸服務(wù)。S7協(xié)議被封裝在TPKT和圖7S7Comm協(xié)議格式被捕獲或監(jiān)聽，攻擊者能夠輕易地從流量中提取出敏感數(shù)據(jù)，獲取設(shè)備信息。重放攻擊等手段篡改控制器數(shù)據(jù)，甚至直接命令控制器S7Comm-Plus目前是S7通訊協(xié)議簇中安全性最高的協(xié)議，在S7Comm協(xié)議基礎(chǔ)上添加了會話認證、程序加密等安全機制，建立通信前進行四次握手密鑰，利用復(fù)雜的加密算法對交互內(nèi)容進行保護，該協(xié)議部署于S7-1200/1500系列利用其通信原理設(shè)計偽裝上位機對PLC進行攻擊，控制PLC的運行狀態(tài)，甚至發(fā)動Modbus協(xié)議是Modicon公司推出的全球執(zhí)行功能碼定義的操作并向客戶機發(fā)送響應(yīng)，或者在操作通信過程缺乏必要的認證步驟，攻擊者尋找一個合法地址議所有的數(shù)據(jù)均通過明文進行傳輸，包括寄存器的地址通常被放置在第六層，在TCP/IP模型中則位于應(yīng)用層和傳輸層之TSL握手建立的安全通道中，而TSL所要求的身份認證來源于服務(wù)器生成的包括版本號、用戶名、有效性、簽名算法和公鑰的安全證書，這種保但是考慮到采用的驗證設(shè)備在工業(yè)控制系統(tǒng)中不具備普適性，在TCP協(xié)議之上，因此不具有解決某些TCP漏洞的能力，如TCPSYNFlood和TCP嵌入技術(shù)在過程控制方面的應(yīng)用[44]。OPC規(guī)范從OLE/COM/DCOM的技術(shù)基使用開放OPC服務(wù)的設(shè)備后，可利用漏洞向該設(shè)備發(fā)送Payload以觸發(fā)DoS條件或遠程代碼執(zhí)行攻擊。攻擊者可利用遠程代碼執(zhí)行漏洞在網(wǎng)絡(luò)中有協(xié)議也在冶金場景有所應(yīng)用。這些工控協(xié)議在設(shè)計時并絡(luò)的交互，因此安全機制薄弱。由于工控系統(tǒng)的開放性增強著前所未有的巨大考驗。來自外部網(wǎng)絡(luò)的攻擊者可以利用工表2工控協(xié)議漏洞每個業(yè)務(wù)可以分為多個功能模塊，每個功能模塊由多個軟的業(yè)務(wù)包括生產(chǎn)業(yè)務(wù)、通信業(yè)務(wù)、控制業(yè)務(wù)、調(diào)度業(yè)務(wù)、絡(luò)、應(yīng)用軟件、服務(wù)器等軟硬件設(shè)備組成。由于系統(tǒng)軟件制器漏洞、通信協(xié)議漏洞的存在，使得業(yè)務(wù)不可避免的存根據(jù)其造成損失的來源是否存在人為因素，冶金行業(yè)種類型：人為威脅和非人為威脅。其中，人為威脅根據(jù)業(yè)意攻擊威脅和非惡意攻擊威脅；非人為威脅根據(jù)系統(tǒng)所受表3內(nèi)外部威脅對工控系統(tǒng)業(yè)務(wù)的影響ARP重定向、投毒，協(xié)議攻擊，TCP會話劫持等進通過梳理現(xiàn)有的安全事件，網(wǎng)絡(luò)攻擊對業(yè)務(wù)可能產(chǎn)生損失、拒絕查看、拒絕控制、安全損失、視圖喪失、操縱表4業(yè)務(wù)脆弱性及其說明失黑客可能會通過中斷甚至破壞控制系統(tǒng)操作、設(shè)備和控制過程的可用性和完整性而導(dǎo)致生產(chǎn)力和收入損失。此技術(shù)可以是針對物理系統(tǒng)攻擊引攻擊者會采用拒絕控制的方式以暫時阻止操作員或工程師與過程控制進行交互。攻擊者可以通過拒絕過程控制訪問實現(xiàn)與控制裝置的暫時通信中斷或阻止操作員調(diào)整過程控制。受影響的過程在失去控制期間可能仍在攻擊者會使用拒絕查看以試圖破壞和阻止操作員對信息環(huán)境狀態(tài)的監(jiān)狀態(tài)和報告消息來實現(xiàn)拒絕查看，其目的是阻止操作員注意到狀態(tài)的變化安全損失可以描述物理影響和威脅，或控制系統(tǒng)環(huán)境、設(shè)備或過程中久性視圖喪失。通過造成持續(xù)的上報消息可見性喪失，攻擊者可以有效地隱藏當前的操作狀態(tài)。這種視圖喪失不會影響攻擊者可以在工業(yè)環(huán)境中操縱物理過程控制，操縱控制的方法包括對設(shè)定值、標記或其他參數(shù)的更改。攻擊者可操縱控制系統(tǒng)設(shè)備或己方的設(shè)攻擊者可能試圖操縱上報給操作員或控制器的信息。這種操縱可能是告的狀態(tài)截然不同的狀態(tài)。如果視圖被篡改，操作員可能會被欺騙去做一些對系統(tǒng)有害的事情，例如操作員可能會發(fā)出錯誤的控制指令，導(dǎo)致系統(tǒng)為了謀取個人經(jīng)濟利益或者為將來的攻擊行為做準備，攻擊者可能把竊取生產(chǎn)環(huán)境中的操作信息作為任務(wù)目標。這些操作信息可能包括設(shè)計文檔、生產(chǎn)計劃、運行數(shù)據(jù)或提供操作細節(jié)的類似工冶金工控系統(tǒng)主動防御技術(shù)體系是建立在基于時間的安全理論基礎(chǔ)之上的，包括protection(保護)、detection(檢測)、關(guān)的所有活動，無論是攻擊行為、防護行為對風險進行及時處置，并對處置過程中的經(jīng)驗進行總結(jié)，從而保證防護、檢全策略的控制和指導(dǎo)下，綜合運用防護工具和檢測工具的略將系統(tǒng)調(diào)整到“最安全”和“風險最低”的狀態(tài)。該模要環(huán)節(jié)是風險評估，通過風險評估，掌握網(wǎng)絡(luò)安全面臨的處置措施，使得網(wǎng)絡(luò)安全水平呈現(xiàn)動態(tài)螺旋上升的趨勢3.2面向冶金工控系統(tǒng)的IPDR一體化工業(yè)協(xié)議私有化程度高，為滿足功能性、實時性要容性差；在業(yè)務(wù)方面，嵌入式計算環(huán)境實時性要求高從威脅源頭來看，工控系統(tǒng)不僅面臨來自信息域手段的疊加作用，因此防范難度更大。從現(xiàn)實案例來連續(xù)性的信息物理融合，通過信息側(cè)發(fā)起威脅，引發(fā)關(guān)的局部擾動，再運用這種擾動構(gòu)造跨越效應(yīng)，引起信息表5信息系統(tǒng)與工控系統(tǒng)安全防御區(qū)別長周期運行、實時更新可靈活更新、常規(guī)防病高度私有化、基礎(chǔ)功能標準化協(xié)議、完善的基實時性要求相對較低、信息側(cè)威脅和物理域威主要面臨來自信息側(cè)的面對信息物理融合帶來的各類威脅，防御人員需要和安全體系構(gòu)建原則，綜合考慮功能安全和信息安全，構(gòu)建面控系統(tǒng)安全防護要求，本白皮書提出“識別(Identification)-保護(Protection)-檢測圖8冶金行業(yè)主動防御技術(shù)體系IPDR成三大安全控制回路，實現(xiàn)具有自演化能力的工控系統(tǒng)威加固回路基于控制工程設(shè)計架構(gòu)、運行機理、歷史記錄等信息統(tǒng)安全脆弱點，針對性地提出系統(tǒng)設(shè)備、控制行為和業(yè)務(wù)脅實時防護回路協(xié)同采集工控系統(tǒng)各層級安全數(shù)據(jù)，創(chuàng)新行特征，綜合分析系統(tǒng)狀態(tài)，研究多層級威脅跟蹤溯源機能力，“風險識別保護加固”的執(zhí)行將進一步提高系統(tǒng)異全面識別冶金工控系統(tǒng)在設(shè)計、運行、服務(wù)等全生命等關(guān)鍵功能節(jié)點的自身脆弱性并進行脆弱性關(guān)聯(lián)分析響的角度，識別并總結(jié)控制工程全生命周期各階段中運行、服務(wù)等階段的全生命周期中的交互行為，對編譯器關(guān)聯(lián)系統(tǒng)內(nèi)部功能結(jié)構(gòu)與外部威脅信息，分控制與部件等層級的安全數(shù)據(jù)進行靜態(tài)威脅特征匹配與動態(tài)工控系統(tǒng)各層數(shù)據(jù)流信息，結(jié)合工控系統(tǒng)拓撲結(jié)構(gòu)、系統(tǒng)動基于工控系統(tǒng)脆弱性與威脅事件關(guān)聯(lián)關(guān)系，結(jié)合網(wǎng)絡(luò)響應(yīng)策略庫；結(jié)合專家知識與行業(yè)安全事件處置圖9主動防御技術(shù)總覽解析，分析固件中各代碼模塊的調(diào)用關(guān)系及代碼內(nèi)容，從而發(fā)存在的漏洞及后門。固件可通過官網(wǎng)下載、硬件接口獲取等分析方法包括動態(tài)分析和靜態(tài)分析。通過靜態(tài)分析技術(shù)可以無法獲得固件在真實系統(tǒng)中的行為和交互、無法獲取固軟件逆向技術(shù)利用逆向工程技術(shù)對控制器配套過靜態(tài)調(diào)試或動態(tài)調(diào)試的方法測試軟件功能，推演軟件流量分析技術(shù)通過數(shù)據(jù)包分析軟件獲取控制器同上遭受網(wǎng)絡(luò)攻擊的風險，在設(shè)計工控協(xié)議時并未考慮到安全因素。放性增強，控制設(shè)備暴露在開放環(huán)境中的可能性越來越大，基于網(wǎng)絡(luò)流量的協(xié)議分析方法。該方法需要采集大量工報文數(shù)據(jù)集，依據(jù)報文間變化規(guī)律和相似性相同類型功能的報文時，報文的部分特征字段及格式具備基于程序分析的協(xié)議分析方法則以協(xié)議的上位機軟件件接收到報文之后，利用不同的程序段處理報文中的各項內(nèi)內(nèi)容與軟件中的不同程序段具有潛在的對應(yīng)關(guān)系，由此可以異常結(jié)果來發(fā)現(xiàn)軟件漏洞。在工控協(xié)議分析中，模糊測試較于逆向分析方法，模糊測試分析自動化程度高，可脫離對業(yè)務(wù)進行有效控制和優(yōu)化管理是工控系統(tǒng)的關(guān)鍵。然而，都是破壞或阻斷控制業(yè)務(wù)，造成設(shè)備損壞甚至人員傷亡。對分析法通過機理建模，給出控制業(yè)務(wù)的動態(tài)數(shù)往往很少進行更新和硬件迭代。對于攻擊者而言，控制器的使用利用的漏洞越多。而對于操作員而言，很多控制器的配置文像個黑盒?？刂七壿嫹囱菘芍匦禄謴?fù)控制器中的控制業(yè)務(wù)邏否存在被篡改、插入惡意代碼、執(zhí)行異常等風險，從而發(fā)現(xiàn)國密算法芯片和國產(chǎn)操作系統(tǒng)，參考目前PLC普遍暴露出的安全問題，重新設(shè)計安對現(xiàn)有協(xié)議進行加固，提升協(xié)議安全性能，是解決當前弱性的有效方法。常用的協(xié)議加固方法包括黑白建立包含內(nèi)部可信設(shè)備及可信行為的白名單，只允許執(zhí)行可信操作，拒絕名單之外的設(shè)備訪問和操作行為，強化動態(tài)分級加密技術(shù)將各類數(shù)據(jù)按照功能及敏感度進不同等級和成本的保護方案。加解密模塊利用實的流量進行過濾，同時記錄非法流量以便后續(xù)的威脅通過業(yè)務(wù)審計技術(shù)對冶金工控系統(tǒng)開展安全審計，進進行保護。通過工控安全審計系統(tǒng)采集場景中產(chǎn)生的實時流量及涉及的業(yè)務(wù)信息，構(gòu)建冶金系統(tǒng)網(wǎng)絡(luò)通信模型，從業(yè)務(wù)要求測流量。同時可以通過獨立于審計對象的審計師對冶金工控系工控蜜罐模仿真實的工控設(shè)備行為，迷惑攻擊者于蜜罐數(shù)據(jù)的入侵檢測算法可以獲得很低的誤報獲新的攻擊。由于蜜罐設(shè)計的目的就是為了被入侵，因此如何結(jié)合工控系統(tǒng)的特性，并通過理解數(shù)據(jù)狀態(tài)的異常檢測一直是工控安全中的關(guān)鍵問題。深度包解包封裝過程中實際的應(yīng)用情況，根據(jù)層次結(jié)構(gòu)解封采集到基于TCP/IP的工控協(xié)議在控制網(wǎng)絡(luò)通信過程中有明確的包的動態(tài)序列會因為不同連接之間的相互干擾而呈現(xiàn)出一神經(jīng)網(wǎng)絡(luò)因為對歷史序列具有選擇性記憶功能，能夠很好過長而造成梯度消失的問題。經(jīng)過分析工控網(wǎng)絡(luò)通信數(shù)據(jù)與自然語言文本預(yù)測研究的相似性，選擇具有記憶性的預(yù)測?；跈C器學習算法的入侵檢測系統(tǒng)是目前工控安全方維護其算法的安全性和魯棒性，需要設(shè)計一個針成算法。通過主動生成對抗樣本，可以進行工控系統(tǒng)冶金系統(tǒng)運行時會產(chǎn)生大量相關(guān)數(shù)據(jù)信息，這受到攻擊者攻擊篡改?？衫蒙窠?jīng)網(wǎng)絡(luò)在行為與時間相關(guān)的特擊模型，識別攻擊者注入的虛假數(shù)據(jù)。還可以在控制系統(tǒng)中壇、微博等平臺的數(shù)據(jù)進行監(jiān)控和分析，冶金企業(yè)可以了解冶金環(huán)境中包含大量主機、控制器、路由器等有很強關(guān)聯(lián)。態(tài)勢感知技術(shù)通過多元數(shù)據(jù)融合技術(shù)識別感知技術(shù)可分為狀態(tài)提取、態(tài)勢評估、趨勢預(yù)測三部分，整體態(tài)勢做出判斷，并依據(jù)歷史記錄和當前情況進行預(yù)攻擊路徑等信息，后者通過分析惡意代碼內(nèi)容、比對典型攻系統(tǒng)受到攻擊后，現(xiàn)場會遺留相關(guān)攻擊信息段保護攻擊痕跡，之后通過殘余數(shù)據(jù)獲取、日志分析等行狀態(tài)及行為記錄，經(jīng)過分析鑒定，找到有價值的攻擊略，是根據(jù)冶金場景特點，針對各級可能發(fā)生的安全事件種安全防御策略能夠提供絕對的保護。提前制定安全應(yīng)急動防御體系，安全保護范圍覆蓋了冶金場景中常被作為IPDR模型各個環(huán)節(jié)間相互支持，構(gòu)成完整的安全防護系統(tǒng)。三大回路閉環(huán)反險深度耦合，單一信息網(wǎng)絡(luò)防御或物理系統(tǒng)保護難以為工過識別、保護、檢測、響應(yīng)四項防護模塊聯(lián)動，統(tǒng)籌各的信息安全、功能安全、操作安全，協(xié)同優(yōu)化冶金工控面向其設(shè)計防護系統(tǒng)的基本思路是圍繞“識別(Identification)-保護(Protection)-檢測(Detection)-響應(yīng)(Response)”四個方面，形成一套完整的一體化IPDR主動防御技術(shù)等；深入分析冶金系統(tǒng)網(wǎng)絡(luò)結(jié)構(gòu)、控制數(shù)據(jù)流特征等，建和規(guī)范，協(xié)助網(wǎng)絡(luò)安全管理人員及時識別網(wǎng)絡(luò)安全風險。按照冶金工控系統(tǒng)安全優(yōu)先級或業(yè)務(wù)關(guān)鍵程度，邏輯劃分，實現(xiàn)基于邏輯安全區(qū)域的網(wǎng)絡(luò)安全風險隔離。采使其具有自主安全防護功能，防止非法卸載。基于識別利用安全加密、多重訪問控制、設(shè)備可信保護等技術(shù)對時根據(jù)工控系統(tǒng)本體在控制工程設(shè)計、運行、服務(wù)等階為，對編譯器、控制器、操作系統(tǒng)及數(shù)據(jù)采集與監(jiān)控系更新；部署具備工控流量解析能力的安全網(wǎng)關(guān)、安全網(wǎng)關(guān)聯(lián)系統(tǒng)內(nèi)部功能結(jié)構(gòu)與外部威脅信息，分控制與部件等層級的安全數(shù)據(jù)，設(shè)計靜態(tài)威脅特征匹配與動工控系統(tǒng)運行、服務(wù)等階段的異常實時檢測。具體來講，融器學習、統(tǒng)計行為等分析方法將檢測發(fā)現(xiàn)的網(wǎng)絡(luò)攻擊數(shù)據(jù)、支持審計系統(tǒng)對冶金系統(tǒng)通信內(nèi)容進行識別審查，實時監(jiān)控構(gòu)建基于網(wǎng)絡(luò)安全管理平臺分級部署協(xié)同管控系統(tǒng)脆弱性與主要攻擊事件之間的關(guān)聯(lián)關(guān)系，應(yīng)策略庫；結(jié)合專家知識與行業(yè)安全事件處置規(guī)則，設(shè)計根據(jù)冶金行業(yè)工控系統(tǒng)規(guī)模及業(yè)務(wù)數(shù)據(jù)流特點，遵循度、技術(shù)管理并重、分層分區(qū)域建設(shè)、動態(tài)調(diào)整四大原則，并能對被非法篡改的組態(tài)程序進行恢復(fù)。采用基于白名單技務(wù)器，在同一網(wǎng)段內(nèi)應(yīng)當能夠?qū)崿F(xiàn)集中管控或日志采集，防監(jiān)控層采用態(tài)勢感知平臺，被動式的安全分析和漏擾工控生產(chǎn)環(huán)境；自動生成網(wǎng)絡(luò)拓撲，并支持基于網(wǎng)段的靈針對工控系統(tǒng)的各類掃描、探測、遠程連接、設(shè)備控制等行系統(tǒng)，用于工控網(wǎng)絡(luò)內(nèi)工業(yè)實時流量采集與審計，實現(xiàn)網(wǎng)絡(luò)構(gòu)，實現(xiàn)無協(xié)議數(shù)據(jù)單向擺渡。采用工業(yè)綜合安全管理有網(wǎng)絡(luò)安全設(shè)備上送數(shù)據(jù)進行統(tǒng)一處理和存儲，基于數(shù)圖10冶金場景工控系統(tǒng)主動防御技術(shù)部署圖表6防御技術(shù)及其功能控制器安全組態(tài)及其監(jiān)視系統(tǒng)靈活的控制器安全防護模式：根據(jù)用戶需求配工業(yè)主機安全防護系統(tǒng)能夠?qū)σ苿咏橘|(zhì)進行管控，如光驅(qū)、軟驅(qū)、U遠程/外部終端接入防護路工控網(wǎng)絡(luò)漏洞識別和管理弱密碼檢測、定時掃描、掃描報表功能、管理員權(quán)AAA認證、日志和告警、未知漏洞挖掘、資產(chǎn)管理等[1].李鴻培,忽朝儉,王曉鵬.工控系統(tǒng)的安全研究與實踐[R].北京:綠[3].M.Geiger,J.Bauer,M.MasuunderDoSattack,"IEEEAccess,vol.8,pp.19271-19285[5].深度剖析：伊朗鋼鐵廠入侵路徑推測及對鋼企數(shù)字化安全轉(zhuǎn)型啟示[OL].FreeBuf.COM,2022./articles/ics-arti/pdf/Endpoint_Security_Best_Practices_Final_Mar_2018.pdf.[7].S.Cariellietal.,"IoTSecurityMIIC,USA,2020./pdf/SMM_Description_and_Intended_Use_V1.2.pdf.[8].劉曉曼,杜霖,楊冬梅.2019年工業(yè)互聯(lián)網(wǎng)安全態(tài)勢簡析[J].保密科學技術(shù),2019(12):27-31.[9].工業(yè)控制系統(tǒng)信息安全防護指南[R].工業(yè)和信息化部,2016.[11].工業(yè)信息安全標準化白皮書(2019版)[R].工業(yè)信息安全產(chǎn)業(yè)發(fā)展聯(lián)盟,20[12].2020-2024年中國冶金行業(yè)深度調(diào)研及投資前景預(yù)測報告[R].銳觀產(chǎn)業(yè)研究院,2019./chanye/201604/satdx12/a/408203956_465552.[15].王彥姣.智能自動化在金屬冶煉中的應(yīng)用研究[J].世[17].李新創(chuàng),施燦濤,趙峰.“工業(yè)4.0”與中國鋼鐵工業(yè)[J].鋼鐵,2[19].工業(yè)互聯(lián)網(wǎng)與鋼鐵行業(yè)融合應(yīng)用參考指南[R].工業(yè)互聯(lián)網(wǎng)產(chǎn)業(yè)聯(lián)盟,中國鋼鐵工業(yè)協(xié)會,[20].王偉哲.PLC在鋼鐵冶金企業(yè)電氣自動化控制中的應(yīng)用[J].科技風,202[21].趙明珠.鋼鐵冶金企業(yè)自動化儀表的有效運用[J].化[22].張志遠,劉競,高棋興.工控網(wǎng)絡(luò)安全設(shè)備在冶金行業(yè)(煉鋼)高爐的應(yīng)用[J].自動化博覽,[23].王利山.淺析煉鐵高爐的自動控制系統(tǒng)[J].科技創(chuàng)新與應(yīng)用,2016(10):87.[24].朱邦產(chǎn).PLC和計算機控